8FPH23-00722-01 CSIRT alerta de nueva campaña de phishing que suplanta al Banco Ripley
Resumen
El Equipo de Respuesta ante Incidentes de Seguridad Informática (CSIRT de Gobierno) ha identificado una nueva campaña de phishing vía correo electrónico. En esta campaña, los delincuentes indican falsamente a la víctima lo siguiente: “El departamento de seguridad de BancoRipley detecto una actividad sospechosa en su cuenta. Esto es debido a su ultima consulta que realizo por cajero o banca en linea no finalizo de manera correcta,preocupados por la seguridad de todos nuestros clientes, y atendiendo a la exigencia de la Ley N. 21.234 sobre Prevención de Fraudes, le informamos que de acuerdo a nuestros registros su TarjetaRipley terminada en XXXX, tuvo que ser bloqueada por medidas de seguridad a sus datos privados,para desbloquearla haz click aquí”. De abrir el enlace, la persona es dirigida a un sitio falso semejante a los del Banco Ripley donde se expone al robo de su usuario y contraseña (credenciales). |
Advertencia sobre gestión de IoC
Los
patrones expresados en forma de hash de un archivo pueden ser administrados con
herramientas centralizadas y distribuidas, como firewall y antimalware. Las
organizaciones deben tomar resguardo de incorporar un hash que pudiere estar
vinculado a un archivo o DLL válida dentro de un sistema.
Al
gestionar patrones potencialmente maliciosos con nombres de host o IP, se debe
considerar que la relación entre nombre FQDN e IP puede cambiar en el tiempo, y
que una dirección IP específica puede estar siendo usada por un proveedor de
web hosting que puede tener más de un dominio asociado a dicha IP.
En
consecuencia, se recomienda tener un orden de prioridades a la hora de ejecutar
un bloqueo, considerando al menos:
- El uso de un dispositivo WAF
que pueda discriminar el nombre FQDN potencialmente malicioso por sobre la
IP. - El uso de un firewall que
permita integrar listas de bloqueo FQDN sin necesitar la conversión a IP. - El uso de sistemas proxy que
permitan bloquear el FQDN sin necesitar la conversión a IP. - En última instancia, incorporar
el bloqueo de la IP verificando que no corresponda a un esquema de web
hosting, porque existe la posibilidad de bloquear los restantes dominios
implementados que utilizan la misma dirección IP.
IoC Correo Electrónico
Antes de aplicar bloqueos, tenga
presente el punto sobre advertencia de gestión de IoC.
URL redirección:
https://bit[.]ly/3HfNI2m?l=www.bancoripley.cl |
URL sitio falso:
https://web.bancoripley.cl.bm-rentacar[.]com/1674241056/login |
Datos del remitente:
Asunto | Correo de Salida | SMTP Host |
Fwd:Aviso de Seguridad. | [email protected] |
[198.57.157.110]
Otros antecedentes
Certificado Digital
Fecha Valido | 17 Ene 2023 |
Fecha Término | 17 Abr 2023 |
Emitido | cPanel, Inc. |
Datos Alojamiento y Dominio
IP | [185.45.66.125] |
Número de sistema autónomo (AS) IP | 201200 |
Emitido Etiqueta del sistema autónomo IP |
SuperHosting.BG Ltd. |
Registrador IP | RIPE NCC |
País IP | BG |
Dominio | bm-rentacar.com |
Registrador Dominio | www.enom.com |
Recomendaciones
- Los usuarios deberían procurar:
- No abrir correos ni mensajes de dudosa procedencia.
- Desconfiar de los enlaces y archivos en los mensajes o
correo. - Solicitar que sus plataformas (Office, Windows,
Acrobat, etc.) estén actualizadas. - Ser escépticos frente ofertas, promociones o premios
que se ofrecen por internet. - Prestar atención en los detalles de los mensajes o
redes sociales. - Solicitar que todas las plataformas de tecnologías y
de detección de amenazas estén actualizadas. - Siempre intentar verificar que los sitios web que se
visitan sean los oficiales. - Notificar oportunamente a sus encargados de
ciberseguridad para que investiguen el incidente, comprueben si ha
llegado a otros usuarios y apliquen las mitigaciones pertinentes. Algunas
señales que debieran gatillar un informe inmediato:- Ha llegado un correo que a mi criterio es
potencialmente un engaño (un correo de un banco del cual no soy cliente,
un correo con un super premio, un correo con un bono del gobierno y
claramente no es razonable, etc.). - Me contactan desde algún banco para confirmar alguna
transferencia financiera que yo no he solicitado. - He ingresado mis credenciales en un sitio web que
parecía real y me percaté después de su falsedad.
- Ha llegado un correo que a mi criterio es
- Los administradores deben:
- Implementar controles anti spoofing (DKIM, SPF y
DMARC). - Revisar la información que se expone de sus usuarios
en sus sitios y sistemas web. - Filtrar o bloquear los correos entrantes que sean
clasificados como phishing. - Evaluar el bloqueo preventivo de los indicadores de
compromisos. - Revisar los controles de seguridad de los antispam y
sandboxing. - Instruir a sus usuarios sobre el phishing y ayudarlos
a reconocerlos. Realizar concientización permanente para los usuarios
sobre este tipo de amenazas. - Crear mecanismos amistosos para el reporte y el
feedback, en un entorno donde no se busque la culpabilidad, sino que la
solución. - Implementar 2FA.
- Proteger a sus usuarios de sitios maliciosos usando
proxy servers y manteniendo actualizados sus browsers. - Proteger sus dispositivos del malware.
- Tener un protocolo de respuesta rápido ante estos
incidentes. - Detectar rápidamente estos incidentes instando a los
usuarios a que reporten rápidamente cualquier actividad sospechosa.
- Implementar controles anti spoofing (DKIM, SPF y
Informe
El informe oficial publicado por el
CSIRT del Gobierno de Chile está disponible en el siguiente enlace: 8FPH23-00722-01.